Let’s Encrypt翻譯成中文叫“讓我們來加密”，實際上這是個為廣大網站免費頒發SSL/TLS證書的項目。Let’s Encrypt的來頭不小，目前它是由Linux基金會托管的，發起該項目的組織包括Mozilla、思科、EFF等。這個項目對于Web世界由HTTP過渡到HTTPS是異常重要的。

然而最近，Let’s Encrypt自身卻泄露了7000多名用戶的電子郵件地址，這豈不是跟互聯網安全的宗旨背道而馳嗎？

Let’s Encrypt簡介

Let’s Encrypt項目自問世以來就很受歡迎。據說到今年4月中旬，他們就已經發放了超過170萬份證書。這也很好理解，畢竟Let’s Encrypt是免費發放證書的，這是利國利民的事業。

許多網站管理人員在享受這項服務的同時，還順便訂閱了Let’s Encrypt的簡報——就類似于平常你在一家網站注冊，或者購買某款產品之后，還訂閱了這家網站的各種動態信息，網站會定期給你發郵件。目前Let’s Encrypt已經擁有38.3萬訂閱用戶。

就在前兩天，Let’s Encrypt給所有簡報訂閱用戶發郵件，結果就出問題了。這封郵件并非什么機密信息，是相關訂閱用戶協議更新的。

第三方服務的側漏

Let’s Encrypt并沒有選擇自己給用戶發郵件，而是找第三方服務代發。在這封簡報郵件發出后，7618名用戶的郵件地址遭遇泄露。Let’s Encrypt ISRG執行董事Josh Aas表示，這是系統中的BUG導致的。

這套第三方系統會將訂閱用戶的電子郵件地址添加到發送隊列中。BUG就在于，訂閱隊列中的第10個人，是可以看到訂閱隊列前9個人的電子郵件地址的。以此類推，大量用戶的郵箱地址也就因此泄露了。收到這封郵件的部分用戶，很快就將該問題反映給了Let’s Encrypt負責人。即便負責人很快采取措施，卻已經有7618位用戶收到了郵件，這些用戶占到訂閱用戶總數的1.9%，悲劇也就這么發生了。

Aas表示：

“如果您收到了這封郵件，我們請求您不要公開這份郵箱地址列表。”

Aas還說，未來一定會就此事件再做一份反饋報告。